Γενική Πολιτική Προστασίας Προσωπικών Δεδομένων
H συμμόρφωση με τις απαιτήσεις του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΕΕ) 2016/679 (ΓΚΠΔ) αποτελεί προτεραιότητα για το Περιφερειακό Ταμείο Ανάπτυξης Περιφέρειας Δυτικής Ελλάδας (εφεξής ΠΤΑ/ΠΔΕ).
Ως προσωπικό δεδομένο ορίζεται κάθε πληροφορία που αφορά τα φυσικά πρόσωπα, ως ένα ταυτοποιημένο ή ταυτοποιήσιμο άτομο εν ζωή. Σε αυτές τις πληροφορίες περιλαμβάνονται το ονοματεπώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, ο κώδικας διαδικτυακού πρωτοκόλλου (IP) ή πληροφορίες για την υγεία τους.
Ορισμένα ευαίσθητα δεδομένα, όπως τα δεδομένα που αφορούν την υγεία, τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα και τον γενετήσιο προσανατολισμό, λαμβάνουν ειδική προστασία και διαχειρίζονται με μεγαλύτερη προσοχή, πάντοτε σε συνάρτηση με την προστασία της ιδιωτικότητας των υποκειμένων αυτών των δεδομένων.
Οι κανόνες ισχύουν όταν οποιαδήποτε επεξεργασία δεδομένων, όπως για παράδειγμα η συλλογή, η χρήση και η αποθήκευση των δεδομένων των φυσικών προσώπων, πραγματοποιείται είτε με ηλεκτρονικά μέσα είτε σε έντυπη μορφή, πάντοτε όμως μέσω ενός διαρθρωμένου συστήματος αρχειοθέτησης.
Το ΠΤΑ/ΠΔΕ τηρεί τις βασικές Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, τα δεδομένα προσωπικού χαρακτήρα, όπως ορίζει το άρθρο 5 του ΓΚΠΔ υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»).
Επιπλέον, συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία ωστόσο, στην οποία ενδέχεται να προβαίνει το ΠΤΑ/ΠΔΕ για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς συλλογής των δεδομένων, σύμφωνα με το άρθρο 89 παράγραφος 1 του ΓΚΠΔ («περιορισμός του σκοπού»).
Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από το ΠΤΑ/ΠΔΕ είναι πάντοτε κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»). Επιπλέον, είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται. Το ΠΤΑ/ΠΔΕ διασφαλίζει ότι λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («αρχή της ακρίβειας»).
Επιπρόσθετα, τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο ΓΚΠΔ για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»).
Τέλος, τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια τους, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Το ΠΤΑ/ΠΔΕ είναι υποχρεωμένο να τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνο. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:
- το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας (ΠΤΑ/ΠΔΕ) και, κατά περίπτωση, τους από κοινού υπευθύνους επεξεργασίας, του εκπροσώπου του εκάστοτε υπευθύνου επεξεργασίας και του Υπευθύνου Προστασίας Δεδομένων (DPO),
- τους σκοπούς της επεξεργασίας,
- περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα (εν προκειμένω των εργαζομένων του ΠΤΑ/ΠΔΕ, των προμηθευτών ή των νόμιμων εκπροσώπων των Εταιρειών με τις οποίες το ΠΤΑ/ΠΔΕ συνεργάζεται)
- τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα. Το ΠΤΑ/ΠΔΕ δεν διαβιβάζει προσωπικά δεδομένα των υποκειμένων σε αποδέκτες που εδρεύουν σε τρίτες χώρες (εκτός ΕΟΧ) ή διεθνείς οργανισμούς.
- Τις κατάλληλες εγγυήσεις για τη διαβίβαση των δεδομένων και τα μέτρα προστασίας που έχουν ληφθεί,
- όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διακράτησης των διαφόρων κατηγοριών δεδομένων και τον τρόπο καταστροφής τους
- όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1, τα οποία έχει λάβει και τηρεί το ΠΤΑ/ΠΔΕ.
Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, το ΠΤΑ/ΠΔΕ θα εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με το εθνικό και ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων. Συγκεκριμένα, το ΠΤΑ/ΠΔΕ έχει λάβει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:
- της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,
- της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,
- της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα εν ευθέτω χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,
- διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας από το ΠΤΑ/ΠΔΕ θα λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 33 του ΓΚΠΔ), το ΠΤΑ/ΠΔΕ ως υπεύθυνος επεξεργασίας θα γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, θα συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
Το ΠΤΑ/ΠΔΕ μοιράζεται τα προσωπικά δεδομένα των υποκειμένων με δημόσιες υπηρεσίες, δημόσιους και κρατικούς φορείς, δημόσιες πύλες ηλεκτρονικής διακυβέρνησης, δικαστικές και αστυνομικές αρχές, και μόνο τα απαιτούμενα, αναγκαία και κατάλληλα προσωπικά δεδομένα για την εκπλήρωση του σκοπού για τον οποίο έχουν συλλεχθεί εξαρχής.
Μπορεί επίσης να αποκαλύψει προσωπικά δεδομένα σε άλλα τρίτα μέρη προς συμμόρφωση με τις νομικές του υποχρεώσεις, συμπεριλαμβανομένης, όπου απαιτείται, της συμμόρφωσης με νόμο, κανονισμό ή σύμβαση ή προς συμμόρφωση με δικαστική απόφαση, ή ανταπόκριση σε διοικητική ή δικαστική διαδικασία ή προς ανταπόκριση σε αιτήματα εθνικής ασφάλειας ή επιβολής του νόμου, συμπεριλαμβανομένων, μεταξύ άλλων, δικαστικής απόφασης ή ένταλμα έρευνας.
Σε περίπτωση που μετά από εφαρμογή της ισχύουσας νομοθεσίας περί σύναψης δημοσίων συμβάσεων, προκύψει ανάδοχος ο οποίος κατά την εκτέλεση της σύμβασης έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται το ΠΤΑ/ΠΔΕ, τότε με ευθύνη των αρμοδίων Υπηρεσιών του υπογράφεται είτε Σύμβαση Επεξεργασίας Δεδομένων (άρθρο 28 του ΓΚΠΔ, αφορούσα τους Εκτελούντες την Επεξεργασία για λογαριασμό του ΠΤΑ/ΠΔΕ), είτε σύμβαση εμπιστευτικότητας – εχεμύθειας, ενώ οι όροι των συμβάσεων αυτών μπορούν να ενσωματώνονται εντός της κύριας σύμβασης. Στόχος της παραπάνω ενέργειας είναι η εξασφάλιση επαρκών διαβεβαιώσεων για την εφαρμογή από τους αναδόχους κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
Το ΠΤΑ/ΠΔΕ αναγνωρίζει τα δικαιώματα των φυσικών προσώπων αναφορικά με την προστασία των προσωπικών δεδομένων τους. Έτσι τα φυσικά πρόσωπα έχουν το δικαίωμα:
- Να ενημερώνονται σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν (δικαίωμα πρόσβασης)
- Να ζητούν τη διόρθωση εσφαλμένων, ανακριβών ή ελλιπών δεδομένων προσωπικού χαρακτήρα που τους αφορούν (δικαίωμα διόρθωσης)
- Να υποβάλλουν αίτημα για τη διαγραφή δεδομένων προσωπικού χαρακτήρα όταν δεν είναι πλέον απαραίτητα ή εάν η επεξεργασία είναι παράνομη (δικαίωμα διαγραφής ή «δικαίωμα στη λήθη»).
- Να εναντιώνονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή τους (δικαίωμα εναντίωσης)
- Να υποβάλλουν αίτημα για περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένες περιπτώσεις (δικαίωμα περιορισμού της επεξεργασίας)
- Να λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα σε κοινώς χρησιμοποιούμενο μορφότυπο, αναγνώσιμο από μηχάνημα και να τα αποστέλλουν σε κάποιον άλλον υπεύθυνο επεξεργασίας (δικαίωμα φορητότητας δεδομένων),
- Να υποβάλλουν αίτημα έτσι ώστε αποφάσεις που βασίζονται σε αυτοματοποιημένη επεξεργασία, και βασίζονται στα δεδομένα προσωπικού χαρακτήρα, να γίνονται από φυσικά πρόσωπα και όχι μόνο από υπολογιστές (δικαίωμα εναντίωσης στην αυτοματοποιημένη ατομική λήψη αποφάσεων)
- Να υποβάλουν καταγγελία στην Α.Π.Δ.Π.Χ., η οποίο αποτελεί αρμόδια Εποπτική Αρχή για την Ελλάδα.
Σας γνωρίζουμε ότι μπορείτε να επικοινωνείτε για οποιοδήποτε ζήτημα σας απασχολεί σχετικά με την ασφάλεια των δεδομένων σας με τον Υπεύθυνο Προστασίας Δεδομένων που έχει ορισθεί για το ΠΤΑ/ΠΔΕ στον τηλεφωνικό αριθμό: 210 6819236, καθώς και στο email dpo@ptapde.gr.
Έχετε το δικαίωμα να προσφύγετε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για ζητήματα που αφορούν την επεξεργασία προσωπικών σας δεδομένων. Για την αρμοδιότητα της Αρχής και τον τρόπο υποβολής καταγγελίας, μπορείτε να επισκεφθείτε την ιστοσελίδα της (www.dpa.gr / Τα δικαιώματά μου / Υποβολή καταγγελίας), όπου μπορείτε να βρείτε αναλυτικές πληροφορίες. ). Ωστόσο, θα χαιρόμασταν ιδιαίτερα αν μας δίνατε την ευκαιρία να επιλύσουμε οποιοδήποτε παράπονο σας το συντομότερο δυνατό, προτού προβείτε σε καταγγελία ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Οι ανωτέρω όροι καθώς και οποιαδήποτε τροποποίηση τους, διέπονται και συμπληρώνονται από το ελληνικό δίκαιο, το δίκαιο της Ευρωπαϊκής Ένωσης και τις σχετικές διεθνείς συνθήκες. Οποιαδήποτε διάταξη των ανωτέρω όρων καταστεί αντίθετη προς το νόμο, παύει αυτοδικαίως να ισχύει και αφαιρείται από το παρόν, χωρίς σε καμία περίπτωση να θίγεται η ισχύς των λοιπών όρων.